Неделю назад исследователь проблем информационной безопасности Йонас Ликкегаард опубликовал информацию про критическую уязвимость, которой подвержена Windows 10 (начиная с версии 1809), а также Windows 11. Уязвимость SeriousSAM (HiveNightmare ) была оценена в 7.8 баллов по шкале CVSS и получила идентификатор CVE-2021-36934. Эксплуатируя уязвимость SeriousSAM, злоумышленник может повысить свои привилегии и получить доступ к паролям от учетных записей пользователей.

Проблема связана с тем, как Windows 10 контролирует доступ к таким файлам, как SAM (C:\Windows\System32\config\sam), SECURITY (C:\Windows\System32\config\security) и SYSTEM (C:\Windows\System32\config\system).

Перечисленные выше файлы хранят информацию о хешированных паролях всех учетных записей пользователей Windows, параметрах, связанных с безопасностью, данные о ключах шифрования и прочие важные сведения о конфигурации ядра ОС. Если потенциальный злоумышленник сможет прочитать файлы, полученная информация поможет ему получить доступ к паролям пользователей и критически важным настройкам системы.

В нормальной ситуации только администратор Windows может взаимодействовать с этими файлами. Однако во время тестирования Windows 11 Йонас Ликкегаард заметил, что хотя операционная система ограничивает доступ с этим файлам для низкоуровневых пользователей, копии данных файлов, сохраненные в теневых копиях, являются полностью доступными для чтения.

Получение доступа к файлу конфигурации Security Account Manager (SAM) всегда представляет собой огромную проблему, так как это позволяет похитить хешированные пароли, взломать эти хэши и захватить учетные записи. Хуже того, в SYSTEM и SECURITY также могут содержать аналогичные другие, не менее опасные данные, включая ключи шифрования DPAPI и детали Machine Account (используются для присоединения компьютеров к Active Directory).

Пока Microsoft только изучает проблему и работает над созданием патча, который возможно будет выпущен как экстренное обновление безопасности. На данный момент Microsoft лишь рекомендует ограничить доступ к проблемной папке, а также удалить теневые копии.

Стоит отметить, что известный ИБ-эксперт Кевин Бомонт уже опубликовал PoC-эксплоит для SeriousSAM, чтобы админы могли проверить, какие из их систем уязвимы для атак.